[发明专利]用于验证控制/指令系统的方法以及能够通过该方法验证的控制/指令系统

权利要求书

1.一种用于验证工业过程的控制/指令实时系统(3)的方法，所述实时系统(3)包括：输入(11)，所述输入的状态改变代表外部事件(en)；输出(17)，用于指令外部执行机构(4，5)；以及自动模块(15)，被布置成响应于所述事件(en)而执行任务(n)并且通过所述输出(11)作用于所述执行机构(4，5)；输入和输出状态的集合在给定的时刻是所述系统(3)的瞬时全局状态(Fi)，在执行任务(n)的结束时所获得的输入和输出状态的所述集合是所述系统(3)的已稳定的全局状态(ESj)，所述验证方法包括以下步骤：

---建立所担忧的事件(FXj)的列表；

---通过互补性推断所述自动模块的实质功能；

---建立所述执行机构(4，5)的运行特征的列表；

---定义所述系统的初始已稳定的全局状态(ESj)；

---从所述初始已稳定的全局状态(ESj)模拟单个外部事件(en)，以便获得作为结果的已稳定的全局状态(ESj+1)，以及

---事件(en+1)接事件(en)地进行所述模拟，用于已稳定的全局状态(ESj+1)接已稳定的全局状态(ESj)地获得已经被模拟的已稳定的全局状态。

2.根据权利要求1所述的方法，其中只要尚未模拟事件(en)和已稳定的全局状态(ESj)的所有可能组合，则进行上述模拟。

3.根据权利要求1和2中的一个所述的方法，其中一获得体现所担忧的事件(FXj)的特征的瞬时全局状态(Fi)，就停止所述模拟。

4.根据权利要求1至3中的一个所述的方法，其中，如果在对特定的事件(en)和特定的已稳定的全局状态(ESj)的模拟之后无法获得已稳定的全局状态(ESj+1)，则发出警示(E1)。

5.根据权利要求1至4中的一个所述的方法，其中在所有所述已稳定的全局状态(ESj)上系统地模拟所有所述可能的外部事件(en)。

6.根据权利要求1至5中的一个所述的方法，其中仅当尚未执行任意任务(n-1)时才授权执行对应于任意事件(en)的任务(n)。

7.根据权利要求1至6中的一个所述的方法，其中对于所有所述可能的初始已稳定的全局状态(So)，测试对应于所有所述可能的外部事件(Eo)的所述任务(n)。

8.根据权利要求7所述的方法，其中所述任务(n)只能从那些相同的初始已稳定的全局状态(So)被触发。

9.根据权利要求1至8中的一个所述的方法，其中将所述模拟限定在从已稳定的全局状态(ESj)推断的已稳定的全局状态的子集(Gi)，并且将所述自动模块(15)的所述功能限定在由所述工业过程中现行的规则所授权的那些功能。

10.一种工业过程的控制/指令实时系统(3)，包括：管理模块(13)，代表外部事件(en)的接通-断开输入(11)，和指令外部执行机构(4，5)的接通-断开输出(17)；自动模块(15)，用于响应于所述事件(en)执行作用于所述输出(17)的预定任务(n)，在给定时刻(Ti)的所述输入(11)和输出(17)的状态的集合是所述系统(3)的瞬时全局状态(Fi)，在执行任务(n)的结束达到的所述输入(11)和输出(17)的状态的所述集合是所述系统(3)的已稳定的全局状态(ESj)，所述系统的特征在于：所述管理模块(13)被布置用于仅当没有正在执行对应于另一个事件(en-1)的任务(n-1)时才授权(20)执行对应于任意外部事件(en)的任务(n)，并且所述自动模块(15)被布置为使得所述对应的动作仅导致有限数目的全局状态(Fi)。

11.根据权利要求10所述的系统，包括用于收集数据的物理层(11)、中断系统块(12)、用于管理资源的层(13)、解译层(14)以及状态图和自动装置的层(15)。

12.根据权利要求11所述的系统，其中自动装置(15)是有限状态的自动装置，并且包括从其指令的执行机构(4，5)的特征推断的警示功能，并且配备有通过补充性从在工业过程中所担忧的事件的列表推断的保障属性。